SLA Information – November 9 incident Roubaix (RBX)

On Thursday November 9, some of your services were affected by a network incident in our French site, in Roubaix (RBX). We would like to extend our sincerest apologies.

Flagged at 8:01am (French time), the incident was declared closed by our teams at 10:34am (French time). You were unable to access your services during this time.

All of your services are now working again, and we are here to answer any questions which you may have regarding your products.

We are well aware of the consequences of this service interruption, and we will, of course, be activating the planned compensation for products which are contractually bound by an SLA. As a reminder, you can find all the SLA levels pertaining to your products, in the customer control panel. You can view all compensation details via this link.
тут-адрес-панели/billing/sla/

The causes of this incident are still being analyzed, and we have already taken some measures which will further strengthen the reliability of our services, even in the most unexpected situations.

You can find additional information about the event and the resulting actions here. Rest assured that we are doing everything to learn from each new situation encountered, to further improve our service availability. We will keep you informed of the implementation of these measures.

We are very sorry for the inconvenience this incident may have caused, and would like to reiterate our sincerest apologies.
Regards, The OVH team

от редакции
по русски написано ТУТ

Теперь вот длинный ответ

travaux.ovh.net/?do=details&id=28247

Сегодня утром в 7:23 утра у нас был большой перерыв на нашем сайте в Страсбурге (SBG): перерыв в электроснабжении, который оставил три датацентра без электроэнергии в течение 3,5 часов. SBG1, SBG2 и SBG4. Вероятно, это самый худший сценарий, который мог произойти с нами.

Участок SBG питается от линии электропередачи 20 кВА, состоящей из 2 кабелей, каждая из которых обеспечивает 10MVA. 2 кабеля работают вместе и подключены к одному и тому же источнику и к тому же автоматическому выключателю в ELD (Strasbourg Electricity Networks). Сегодня утром один из двух кабелей был поврежден, и автоматический выключатель отключил питание от центра обработки данных.

Сайт SBG предназначен для работы без ограничений по времени на генераторах. Для SBG1 и SBG4 мы создали первую резервную систему из 2 генераторов по 2MVA каждый, сконфигурированных в N + 1 и 20kv. Для SBG2 мы создали 3 группы в конфигурации N + 1 1,4 МВА каждый. В случае сбоя внешнего источника питания высоковольтные ячейки автоматически перенастраиваются с помощью моторной отказоустойчивой системы. Менее чем за 30 секунд дата-центры SBG1, SBG2 и SBG4 могут восстановить мощность с 20 кВА. Чтобы сделать это переключение без отключения питания серверов, у нас есть источники бесперебойного питания (ИБП), которые могут поддерживать питание до 8 минут.

Сегодня утром моторная отказоустойчивая система работала не так, как ожидалось. Команда запуска генераторов резервного копирования не была предоставлена ​​NSM. Это NSM (двигатель с нормальной аварийной ситуацией), предоставляемый поставщиком высоковольтных ячеек 20 кВ. Мы контактируем с производителем / супером, чтобы понять происхождение этой проблемы. Тем не менее, это дефект, который должен был быть обнаружен во время периодических испытаний на неисправность внешнего источника. Последний тест SBG для восстановления резервных копий был в конце мая 2017 года. Во время этого последнего теста мы приводили SBG только из генераторов в течение 8 часов без каких-либо проблем, и каждый месяц мы тестируем генераторы резервных копий бесплатно. И, несмотря на все это, этой системы было недостаточно, чтобы избежать сегодняшнего юрта.

Примерно в 10 часов нам удалось переключить ячейки вручную и снова начать работу центра обработки данных с генераторами. Мы попросили ELD отсоединить неисправный кабель от высоковольтных ячеек и снова включить автоматический выключатель только с одним из двух кабелей и, следовательно, были ограничены 10MVA. Это действие было выполнено ELD, и мощность была восстановлена ​​примерно в 10:30. Маршрутизаторы SBG были подключены к сети с 10:58 утра.

С тех пор мы работаем над перезагрузкой сервисов. Включение источника энергии с помощью энергии позволяет перезапускать серверы, но службы, запущенные на серверах, все равно необходимо перезапустить. Вот почему каждый сервис постепенно возвращается с 10:30. Наша система мониторинга позволяет нам узнать список успешно запущенных серверов и те, которые все еще имеют проблему. Мы вмешиваемся на каждом из этих серверов, чтобы выявить и решить проблему, которая препятствует ее перезапуску.

В 7:50 мы создали кризисную единицу в RBX, где мы централизовали информацию и действия всех вовлеченных команд. Грузовик из RBX был загружен запасными частями для SBG. Он прибыл в пункт назначения около 17:30. Чтобы помочь нашим местным командам, мы отправили команды из центра данных LIM, расположенного в Германии, и персонала из центра обработки данных RBX, все из которых были мобилизованы на месте с 16:00. В настоящее время более 50 техников работают в SBG, чтобы вернуть все услуги в Интернете. Мы готовим работу ночью и, если необходимо, завтра утром.

Во избежание катастрофических сценариев, таких как этот, за последние 18 лет OVH разработала электрические архитектуры, которые могут выдерживать всевозможные отключения электроэнергии. Каждый тест, каждый недостаток, каждая новая идея обогатили наш опыт, позволяющий нам сегодня создавать надежные центры обработки данных.

Так почему же этот провал? Почему SBG не выдержала простой сбой питания? Почему весь интеллект, который мы развили в OVH, не смог предотвратить эту катастрофу?

Быстрый ответ: энергосистема SBG унаследовала все недостатки дизайна, которые были результатом небольших амбиций, которые первоначально ожидались для этого местоположения.

Теперь вот длинный ответ:
Еще в 2011 году мы планировали развертывание новых центров обработки данных в Европе. Чтобы проверить аппетит для каждого рынка, с новыми городами и новыми странами, мы изобрели новую технологию развертывания центров обработки данных. С помощью этой внутренней технологии мы надеялись получить гибкость при развертывании центра обработки данных без ограничений времени, связанных с разрешениями на строительство. Первоначально мы хотели получить возможность подтвердить наши гипотезы, прежде чем делать значительные инвестиции в определенном месте.

Таким образом, в начале 2012 года мы запустили дата-центр SBG1 из морских контейнеров. Мы развернули 8 грузовых контейнеров, и SBG1 работает менее чем за 2 месяца. Благодаря этому сверхбыстрому развертыванию, которое заняло менее 6 месяцев, мы смогли подтвердить, что SBG действительно является стратегическим местом для OVH. К концу 2012 года мы решили построить SBG2, а в 2016 году мы начали строительство SBG3. Эти 2 датацентра не были построены из контейнеров, но были основаны на нашей технологии «Башня». Строительство SBG2 заняло 9 месяцев, и SBG3 будет запущен в производство в течение месяца. Чтобы решить проблему пространства, в начале 2013 года мы быстро построили SBG4, основываясь на разговорах о транспортировочных контейнерах.

Проблема заключалась в том, что, развертывая SBG1 с технологией, основанной на транспортных контейнерах, мы не смогли подготовить сайт для крупномасштабного проекта.

Мы допустили две ошибки:
  1. Мы не сделали сайт SBG совместимым с внутренними стандартами, для которых требуется 2 отдельных электропитания 20 кВ, как и все наши места постоянного тока, которые оснащены двумя электрическими каналами. Это крупные инвестиции в размере от 2 до 3 миллионов евро за электрическую подачу, но мы считаем, что это часть нашего внутреннего стандарта.
  2. Мы построили энергосистему SBG2, поместив ее в энергосистему SBG1 вместо того, чтобы сделать их независимыми друг от друга, как и во всех наших центрах обработки данных. В OVH каждый номер центра данных указывает, что силовая сеть не зависит от других датацентров. Где угодно, кроме сайта SBG.

Технология, основанная на транспортных контейнерах, использовалась только для сборки SBG1 и SBG4. На самом деле мы поняли, что контейнерный центр обработки данных не соответствует требованиям нашей торговли. На основе темпов роста SBG минимальный размер сайта должен быть равен нескольким центрам обработки данных и, следовательно, иметь общую емкость 200 000 серверов. Вот почему сегодня для развертывания нового датацентра мы используем только два типа конструкций, которые были широко протестированы и спланированы для крупномасштабных проектов и надежности:
  1. строительство 5-6-этажных башен (RBX4, SBG2-3, BHS1-2) для 40 000 серверов.
  2. приобретение зданий (RBX1-3,5-7, P19, GRA1-2, LIM1, ERI1, WAW1, BHS3-7, VIH1, HIL1) для 40 000 или 80 000 серверов.

Даже если этот утренний инцидент был вызван сторонним автоматом, мы не можем отрицать свою ответственность за провал. У нас есть кое-что, что нужно сделать для SBG, чтобы достичь того же уровня стандартов, что и другие OVH-сайты.

В течение дня мы приняли следующий план действий:
  • установка второго, полностью отдельного электрического питания 20MVA;
  • разделение силовой сети SBG2 от SBG1 / SBG4, а также отделение будущего SBG3 от SBG2 и SBG1 / SBG4;
  • миграция клиентов SBG1 / SBG4 в SBG3;
  • закрытие SBG1 / SBG4 и удаление транспортных контейнеров.

Это инвестиционный план в размере 4-5 миллионов евро, который мы запускаем завтра, и надеемся, что мы сможем восстановить доверие наших клиентов к SBG и OVH.

Наши команды по-прежнему трудно на работе, чтобы восстановить услуги последний из затронутых клиентов. Как только инцидент будет полностью разрешен, мы применим SLA по нашим контрактам.

Мы очень сожалеем об этом инциденте, и мы благодарим доверие, которое вы оказываете нам.

Incident Roubaix

travaux.ovh.net/?do=details&id=28244

Сегодня утром у нас был инцидент в оптической сети, которая соединяет наш сайт Roubaix (RBX) с 6 из 33 пунктов присутствия (POP) нашей сети: Paris (TH2 и GSW), Франкфурт (FRA), Амстердам (AMS ), Лондон (LDN), Брюссель (BRU).

Сайт RBX подключается через 6 оптических волокон к этим 6 СОЗ: 2x RBX <> BRU, 2x RBX <> LDN, 2x RBX <> Paris (1x RBX <> TH2 и 1x RBX <> GSW). Эти 6 оптических волокон соединены с системами оптических узлов, которые позволяют иметь 80 длин волн 100 Гбит / с на каждом оптическом волокне.

Для каждого 100G, подключенного к маршрутизаторам, мы используем 2 оптических пути, которые географически различны. В случае обрезки оптического волокна, знаменитый «удар назад», система переконфигурируется в 50 мс, и все ссылки остаются в UP. Чтобы подключить RBX к POP, мы имеем емкость 4,4 Тбит / с, 44x100G: 12x100G до Парижа, 8x100G до Лондона, 2x100G до Брюсселя, 8x100G до Амстердама, 10x100G до Франкфурта, 2x100G до DC GRA и 2x100G до DC SBG.

В 8:01 все 100G-ссылки, 44x100G, были потеряны. Учитывая систему резервирования, которую мы создали, корень проблемы не может быть физическим отключением 6 оптических волокон одновременно. Мы не смогли выполнить диагностику удаленного шасси, поскольку интерфейсы управления были исправлены. Нам пришлось вмешаться непосредственно в комнаты маршрутизации, чтобы манипулировать шасси: отсоедините кабели между корпусом и перезапустите систему и, наконец, выполните диагностику с производителем оборудования. Попытки перезагрузить систему потребовали много времени, потому что для каждого шасси требуется от 10 до 12 минут для загрузки. Это основная причина продолжительности инцидента.

Диагностика: все используемые нами карты транспондеров, ncs2k-400g-lk9, ncs2k-200g-cklc, находятся в состоянии ожидания. Одним из возможных источников такого состояния является потеря конфигурации. Таким образом, мы восстановили резервную копию и вернули конфигурацию, которая позволила системе перенастроить все карточки транспондеров. 100G в маршрутизаторах вернулись естественным образом, и связь RBX с 6 POP была восстановлена ​​в 10:34.

Это явно ошибка программного обеспечения на оптическом оборудовании. База данных с конфигурацией сохраняется 3 раза и копируется в 2 контрольные карты. Несмотря на всю эту безопасность, база исчезла. Мы будем работать с OEM, чтобы найти источник проблемы и помочь исправить ошибку. Мы не ставим под сомнение доверие у производителя оборудования, даже если этот тип ошибок особенно важен. Время безотказной работы — это вопрос дизайна, который учитывает все случаи, в том числе когда ничего не работает. Режим параноида в Ovh должен быть продвинут еще во всех наших проектах.

Ошибки могут существовать, инциденты, которые влияют на наших клиентов, нет. В Ovh обязательно есть ошибка, поскольку, несмотря на все инвестиции в сеть, волокна, технологии, у нас просто есть 2 часа простоя всей нашей инфраструктуры в Рубе.

Одним из решений является создание двух систем оптических узлов вместо одного. 2, что означает 2 базы данных, и поэтому в случае потери конфигурации только одна система не работает. Если 50% ссылок проходит через одну из систем, сегодня мы потеряли бы 50% емкости, но не 100% ссылок. Это один из проектов, которые мы начали 1 месяц назад, было заказано шасси, и мы получим их в ближайшие дни. Мы можем начать работу по настройке и миграции за 2 недели. Учитывая сегодняшний инцидент, этот проект становится приоритетом для всех наших инфраструктур, всех DC, всех СОЗ.

В сфере предоставления облачных инфраструктур остаются только те, которые являются параноидальными. Качество обслуживания является следствием 2-х элементов. Все ожидаемые инциденты «по дизайну». И инциденты, которые мы узнали из наших ошибок. Этот инцидент приводит нас к тому, чтобы поднять планку еще выше, чтобы приблизиться к нулевому риску.

Мы искренне сожалеем о пропуске 2H33 минут на сайте RBX. В ближайшие дни, пострадавшие клиенты получат электронное письмо, чтобы инициировать обязательства SLA.

Октава Клаба: «Мы хотим открыть датацентры во всех странах

Октава Клаба: «Мы хотим открыть датацентры во всех странах»


Он построил европейский лидер облаков с Roubaix. Но Октав Клаба, сорок два года, основатель OVH, теперь нацелен на мир. Он находится на сцене в Париже во вторник для своего ежегодного выступления на саммите OVH, перед 3000 человек, чтобы представить свое видение OVH.

OVH является ведущим поставщиком веб-хостинга и облачных сервисов в Европе. Какова ваша задача сейчас?
Наш бизнес — это прежде всего сопровождение цифровых преобразований как облачного провайдера для компаний. Первоначально мы были веб-хостингами, но сегодня мы намного больше, чем сегодня, и часто возникают недоумения вокруг наших торгов. Отныне наши приоритеты — вербовка — продолжайте рекрутирование неуклонно, потому что важно иметь нужный талант, и мы нанимаем по 80 человек каждый месяц; международный — добиться успеха в нашей имплантации в Соединенных Штатах и ​​продолжать имплантировать по всему миру; инновации — мы всегда должны оставаться инновационными для наших клиентов и упрощать наши предложения.

Как прояснить позиционирование группы?
OVH рос намного быстрее, чем его образ. Чтобы уточнить, мы сгруппируем все наши предложения в три марки. OVHcloud: глобальное высокопроизводительное масштабируемое облако с высоким уровнем обслуживания для больших групп. OVHspirit, оригинальный дух OVH: эффективное облако, приспособленное к потребностям, ни больше, ни меньше. Наконец, OVHmarket, который предоставляет все цифровые услуги для предприятий (подключение, хостинг, автоматизация офиса ...). Сегодня облачные предложения, которые мы объединяем под OVHcloud и OVHspirit, уже составляют 75% наших доходов, по сравнению с 25% для услуг OVHmarket.

Вы объявили о том, что за пять лет вы получили 1,5 миллиарда долларов. Каковы ваши цели?
Мы хотим строить центры обработки данных по всему миру. Сегодня у нас есть 27 центров обработки данных, расположенных на 12 объектах и ​​4 континентах (Франция, Австралия, Сингапур, Польша, Германия, Англия, Восточное побережье США, Канада ...). Началось строительство нового центра обработки данных на западном побережье США, штат Орегон, и мы собираемся запустить Испанию и Италию. В 2016 году мы собрали 250 миллионов евро от KKR и Towerbrook Capital Partners, которые стали миноритарными акционерами, и этим летом мы вложили 400 миллионов евро в долг для расширения нашего инвестиционного плана. Объем наших инвестиций отражает спрос наших клиентов. Если они ускорятся, у нас есть средства для ускорения, OVH имеет все необходимое финансирование.

Как француз может занять позицию в Соединенных Штатах, ведущем мировом рынке облачных вычислений?
Это рынок, полный возможностей: теперь он весит 21 миллиард долларов, а к 2021 году он составит 50 миллиардов долларов. Итак, для всех актеров есть работа, это рост больных людей!

Но вы очень малы по сравнению с Amazon, Google, Microsoft, Tencent или Alibaba ...
Они уже несколько лет занимаются серфингом на технологической волне в своих странах: легче продавать, когда у вас есть Apple в качестве клиента! Но эта волна сейчас ведется в Европе, и мы в свою очередь выиграем от нее. В целом, мы являемся единственным европейским игроком в борьбе за «претендента» и единственным чистым игроком. Это важно, потому что у них есть сделки, которые конкурируют с торгами их облачных клиентов. Например, для ритейлеров: зачем работать с веб-сервисами Amazon, если для этого вам будет предложено Amazon по электронной коммерции! Google — это то же самое в своей области. Эти гиганты не имеют предела в своих амбициях, они хотят делать все торги. Наши предложения богаче и более адаптированы к миру компании. Например, американские актеры предлагают публичное облако. У нас есть три типа облаков, в том числе личное облако на основе технологии VMware, которую наши клиенты знают очень хорошо. И это волшебство: мы можем взять центр обработки данных и перенести его с нами без перерыва! Это то, что мы идем на рынок.

Как мы заслуживаем доверия в Соединенных Штатах, когда мы являемся французами?
Мы сделали выбор, чтобы быть американской коробкой в ​​Соединенных Штатах. Из-за Закона о Патриоте мы создали отдельную компанию, американский исполнительный комитет с боссом и американской командой, которому я делегировал ответственность за нашу стратегию через Атлантику. OVH США полностью автономны, гидроизоляция является общей. Мы там не там, а мы американцы! Приходите на саммит OVH во вторник, вы увидите, как Америка является Russell Reeder, боссом нашего филиала в Соединенных Штатах!

Ваша сила также заключается в том, что вы намного дешевле других. Как вы это делаете?
OVH делает все торги! Мы покупаем здания, разрабатываем нашу систему охлаждения центров обработки данных, наши технологии, наши серверы — в прошлом году мы выпустили 62 000, а также наш собственный программный уровень. Мы — настоящая цифровая фабрика! За всем этим есть много нововведений. У нас также есть оптическое волокно в Европе и США. Все наши клиенты взаимосвязаны с нашей всемирной сетью, это совершенно уникально как модель. Это позволяет нам сократить расходы на все, потому что мы просто делаем необходимые инвестиции.

Разве Соединенные Штаты суждено стать сердцем роста ОВХ?
Мы только начинаем, мы посмотрим, как это происходит, но мы даем себе средства для удовлетворения наших амбиций. OVH US начинается с двух центров обработки данных, и мы собираемся построить больше. Есть 320 человек из 2100 сотрудников (в том числе более 1300 во Франции). Соединенные Штаты являются крупнейшим в мире облачным рынком, и когда мы видим наш рост в Европе, мы можем представить, что он может взорваться, когда он будет хорошо установлен в Америке. Это математика! На 2020 год мы стремимся к мировому обороту, близкому к миллиарду евро, против чуть менее 420 миллионов евро сегодня.

Вы отказываетесь предоставлять данные своего клиента разведывательным службам, как это разрешено законодательством США. Что вы будете делать, если вас спросят?
Это закон в Соединенных Штатах, и мы будем его уважать. Структура США, OVH US, подпадает под действие закона «Патриот», и это позволяет нам работать с новыми клиентами, такими как правительственные агентства США. Но мы изолировали данные от американцев от всех наших других клиентов. Поэтому у наших клиентов есть выбор: использовать наши услуги с помощью закона Patriot (OVH US) или без Patriot Act (OVH).

А для чего Азия?
Наша цель — присутствовать во всех странах мира. Когда мы говорим глобально, это глобально! Мы уже в Сингапуре и Австралии. Скоро мы начнем в Индии, где у нас уже есть команды. Китай находится на нашей дорожной карте в период после 2020 года с Японией, Россией, Бразилией и Африкой.

У OVH есть желание интегрироваться в другую группу или он хочет оставаться чистым игроком ?
Моя цель — быть « чистым игроком ». Я никогда не хотел продавать OVH, хотя мы регулярно получаем привлекательные предложения и что наша оценка теперь превышает миллиард… На самом деле, я не очень хорошо знаю, что группа может нам принести. И тогда это не мой способ работы: я всегда хотел независимую группу.

Каковы были основные факторы успеха OVH?
Это страсть. Это также встречи, один с Ксавьером Нилем был решающим. У меня не было помещений, он одолжил мне мой подвал 11-го округа Парижа, где он и начал. Затем он продал мне офисы в 19-м, банки не хотели давать мне деньги, это Илиада, которая заработала мне кредит на десять лет… Я погасил через три года, Пятнадцать лет назад он уже был у стартапов! Набор также слишком высок. Мы должны окружить себя людьми, которые разделяют ваши ценности и ваше видение. Ну, это большая работа. Сегодня я продолжаю работать более 70 часов в неделю. Атмосфера волшебна в OVH, я говорю командам: мы едем в Соединенные Штаты, чтобы конкурировать с американцами, понимаете?!

Однажды ты сказал себе: «Я этого не сделаю»?
Честно говоря, нет, но когда мы решили интернационализировать OVH, переехав в Канаду, мы действительно рискнули. И я считаю, что я больше не буду делать такую ​​ставку, потому что теперь мы лучше структурированы! Мы нашли здание на месте, через месяц я переехал с семьей, с цветком с винтовкой, и у нас было так много трудностей… Люди не понимали нашей работы, они не хотели работать с нами, предложить волоконную оптику… Я потратил месяцы, объясняя им, что мы не должны бояться. Я работал без остановок, у меня не было ни одного выходного дня в течение девяти месяцев… И нам это удалось, сегодня у нас очень хороший рост в Канаде. Я вернулся во Францию, потому что у меня был рак, и мне приходилось делать химиотерапию. Мне повезло, я вышел из этого, это часть жизни… Все это было очень формативно.

Какой совет вы дадите молодым предпринимателям?
Только те, кто знает, как рисковать, станут прекурсорами нового общества, которое мы все строим вместе. Фактически, мы вышли из угрюмой Франции, где было сказано «нет ничего, что работает», предпринимателю из Франции. Сегодня энтузиазм в отношении предпринимательства невероятен! Это должно заставить вас прыгнуть в воду. Успешно или нет, это обогащает опыт. И когда я вижу, что компания меняется, я думаю, что это уникальное время для риска. Если у вас есть идея, осознайте это!

И просьба к государственным органам?
Правила игры должны быть одинаковыми для всех предприятий, и каждый платит те же налоги. OVH платит налоги во Франции, в Рубе, и есть искажение конкуренции, особенно с американцами. Все эти невыплаченные налоги также означают инвестиционные и научно-исследовательские мощности, и это позволяет им привлекать к ответственности европейские компании. Политики должны измерять фактическое воздействие этих различий в лечении.

www.lesechos.fr/tech-medias/hightech/030720207903-octave-klaba-nous-voulons-ouvrir-des-datacentres-dans-tous-les-pays-2122802.php

Технологии Anti-DDoS

Технологии Anti-DDoS: почему OVH должен продолжать вкладывать значительные средства для поддержания защиты своих клиентов на самом высоком уровне
Гонка против часов. Вот как следует думать о том, что борьба OVH уже несколько лет проводит защиту своих клиентов от атак DDoS, частота и интенсивность которых постоянно растут. Чтобы иметь возможность поглощать атаки завтрашнего дня, а также послезавтра, чьи пропорции по-прежнему трудно понять, необходимо активно инвестировать в наши технологии смягчения DDoS. Пояснения.


DDoS-атаки, неизбежное явление
2013 год ознаменовался возобновлением DDoS-атак, причем пики никогда не достигали ранее. В то время нам стало известно о недофинансировании OVH в технологии защиты от DDoS.

Для записи мы обнаружили немного позже, что некоторые из атак, особенно те, которые нацелены на клиентов из индустрии онлайн-игр, исходили от недобросовестного конкурента, который связался с жертвами после атаки, атакуют, чтобы предложить свои услуги… превознося свою защиту от DDoS.

Не имеет значения: как мы уже говорили, судебный процесс не может быть единственным способом борьбы с нападениями. Судебные власти через подразделения, специализирующиеся на киберпреступности, естественно, мобилизуются для борьбы с этим явлением. Но это должно быть реалистично: исследования длинные и сложные, технически, но и из-за международного характера сетей, которые предоставляют лучшим участникам торгов средства для широкомасштабных атак.

Битва играется сначала на техническом уровне: DDoS — это феномен, единосущный для нашей деятельности по хостингу. Поэтому наша ответственность заключается в том, чтобы создать надлежащие средства защиты, чтобы свести к минимуму последствия нападений, не возлагая ложных надежд на сдерживающие достоинства этих мер.

В 2017 году мы рассчитываем в среднем 2000 атак в день, в том числе около двадцати мощных (по крайней мере, в десятках Гбит / с).

Это число никогда не падало, и вы были бы удивлены, узнав список стран, в которых размещено наибольшее количество ботов, эти машины-зомби вызывают самые большие атаки DDoS. В недавней статье сообщалось, что если пути лорда непроницаемы, компьютеры, серверы, телефоны и другие связанные объекты из Ватикана гораздо меньше, так как плотность ботов на пользователя Интернета является самой большой в мире. Разве скомпрометированные телефоны туристов объяснят это открытие? Доказательство того, что в кибербезопасности чудес не существует.

Взаимозаменяйте стоимость защиты от DDoS, чтобы предлагать их всем
В 2013 году мы запросили вклад наших клиентов (через увеличение на один-два евро / месяц / услугу), чтобы как можно быстрее развернуть систему VAC, нашу защиту от DDoS и, таким образом, догнать задержку, которую мы обвинили на этом основании.

Затем OVH сделал оригинальный выбор: не предлагать эту услугу в виде платного варианта, как это было наиболее распространенной практикой. Мы «предложили» эту услугу всем, в том числе по умолчанию, всем нашим предложениям, чтобы лучше согласовать затраты.

Октава Клаба сказал: «Вопрос заключается не в том, нужна ли вам защита от DDoS, а для того, чтобы узнать, когда вы станете жертвой вашей первой атаки DDoS. OVH обязуется защищать ваш проект 24 часа в сутки от любого типа атаки DDoS, независимо от их продолжительности и размера."


Следует отметить, что во время атаки DDoS при отсутствии защиты происходит систематический побочный ущерб. В зависимости от интенсивности атаки, если он не смешан, это набор серверов-соседей целевого сервера, чей сервис может быть временно недоступен.

Таким образом, нам показалось, что наилучшим вариантом является обеспечение защиты для всех. Тем более, что многие атаки DDoS происходят из-за грабежей или бесполезных мотивов, они также могут быть инструментом цензуры, как показал эксперт по безопасности США Брайан Кребс. Таким образом, защита от атак DDoS способствует качеству сети и защищает свободу выражения, которой мы всегда были привержены.

Анти-DDoS нового поколения и международное развертывание
Развертывание VAC с 2013 года позволило заказчикам OVH получить защиту от качества непревзойденного качества на время и все еще впереди. Это было продемонстрировано, в сентябре 2016 года, рекордная атака в 1 Тбит / с, полученная OVH… и к которой мы сопротивлялись

Система VAC работает очень хорошо и работает в тени для защиты клиентов OVH. Большую часть времени они не понимают, что на них напали только потому, что мы отправляем им электронное письмо, чтобы сообщить им.

Однако, как вы знаете, OVH в то же время приступило к амбициозному международному плану развития, увеличив количество новых центров обработки данных в Европе, Азиатско-Тихоокеанском регионе и Северной Америке, чтобы поддерживать наших клиентов там, где они хотят расширить свой рынок.

Поэтому мы рассмотрели лучший способ «масштабировать» эту технологию VAC, которая первоначально базировалась на трех модулях, соответственно расположенных в Рубе, Страсбурге и Монреале, до добавления четвертого VAC в Gravelines в 2016 году.

Понимая, что запатентованная технология, развернутая в 2013 году, в ближайшее время достигнет пределов пропускной способности и масштабируемости, мы разработали в течение последних двух лет свое собственное анти-DDoS-решение. Он основан на различных технологических слоях: фильтрация FPGA (перепрограммируемые компьютерные чипы с пропускной способностью, превосходящие процессоры), в сочетании с серверами x86, использующими ускорение программного обеспечения 6WIND (технология, разработанная во Франции!) И использование DPDK, а также новейшие сетевые карты Mellanox 100GbE. Это более 100 000 строк кода (наша логика смягчения, постоянно обогащенная), которые сегодня превращаются в VAC нового поколения, сделанные в OVH.

Чтобы упростить нашу защиту от DDoS, мы впервые заменили первые четыре VAC 40G на VAC нового поколения, VAC 100G, с пропускной способностью 600 Гбит / с. Затем мы начали развертывать эти «незаконные трафик-аспираторы» в центрах обработки данных, расположенных в новых географических зонах.

Целью этого умножения VAC является очистка атак как можно ближе к их источнику, чтобы избежать «переноса» их на основу и, следовательно, на ненужную мобилизацию полосы пропускания, рискуя насытить определенные ссылки.

Развертывание VAC следующего поколения продолжается, поскольку новые центры обработки данных идут в производство. OVH в настоящее время развертывает 5 дополнительных VAC в 2017 году: в Сингапуре, Сиднее, Варшаве, Лимбурге (Франкфурте) и Лондоне. Это приводит к тому, что количество VAC до 9 при общей емкости более 4 Тбит / с. Следующие развертывания запланированы на восточном побережье Соединенных Штатов (в будущем центре обработки данных Vint Hill, начале октября), Испании и Италии.

R & D продолжается
Параллельно с международным внедрением анти-DDoS нового поколения мы проводим R & D. Гонка против часов, о которой мы упоминали во введении, — это бесконечная гонка: интенсивность атак будет продолжать расти по мере увеличения размера и пропускной способности Интернета. И изощренность нападений будет возрастать. Точно так же, как мы изучаем механизмы атак, чтобы постоянно улучшать нашу логику смягчения, мы прекрасно знаем, что нападавшие пытаются понять функционирование наших защит, чтобы лучше попытаться их избежать. Поэтому необходимо всегда иметь начало.

Наша статистика за сентябрь 2017 года дает представление о типологии DDoS-атак, полученных OVH:
  • 1- UDP FLOOD (40%)
  • 2- SYN Наводнение (30%)
  • 3- TCP FLOOD (кроме SYN FLOOD) (25%)
  • 4- GRE ( общая маршрутизация ) (3%)
  • 5- Другие (2%)
Преобладание UDP-атак объясняется их простотой реализации. Тем не менее, для каждого типа атаки и для тех, кто использует TCP-протокол, в частности, мы наблюдаем увеличение сложности используемых механизмов, которые становятся все более сложными. И мы отмечаем появление новых методологий, особенно тех, которые основаны на GRE.
Кроме того, наши индикаторы сообщают нам о создании в сентябре 2017 года только ста новых бот-сетей, использующих скомпрометированные связанные объекты, наиболее активными из которых были выпущены более 3000 атак в течение месяца, все хосты вместе взятые… Доказательства, если нужно, что угроза все еще сильна, даже если она не делает заголовки международных новостей.

Наши пользователи сами хотят, чтобы защита от DDoS была идеальной. Если VAC защищает всех клиентов OVH по умолчанию, он активируется только при обнаружении атаки. Затем он фильтрует незаконный трафик для обеспечения доступности целевого сервера. Некоторым клиентам, например в финансовом секторе, предоставляется возможность постоянно активировать VAC: для них замедление показало, что время обнаружения атаки неприемлемо, было ли это меньше в среднем 3 секунды.

Мы знаем, что эта реакционная способность станет стандартом для растущего числа пользователей. Например, в области IoT, когда обнаружение события должно инициировать немедленное действие.

Более того, IoT скоро поставит еще одну задачу: правильно отличить DDoS-атаку от массивного притока данных от подключенных датчиков, умножение которых в отрасли в частности экспоненциально.

Наконец, сегодня, по дизайну, VAC защищает наших клиентов от внешних атак (которые поступают из-за пределов нашей сети). Для атак, происходящих внутри сети OVH, мы обнаруживаем их и действуем в корне, изолируя нарушающие службы менее чем за 30 секунд. Это эффективно, но мы хотим предложить более высокий уровень защиты, добавив дополнительную защиту от DDoS в сети, ближе к серверу, которая защитит серверы от внутренних атак с большей отзывчивостью,

Это то, что мы уже предлагаем на серверах GAME, чьи конкретные потребности в области защиты от DDoS — это сложная техническая задача, которая стимулирует наши инновации так же, как и достижения в области аэрокосмической промышленности часто через несколько лет. Чтобы достичь этого уровня защиты и предоставить его всем, мы будем использовать нашу технологию vRouter (виртуальный маршрутизатор, работающий на серверах x86, который мы постепенно оборудуем нашими центрами обработки данных). Это позволяет устанавливать высокопроизводительные функции фильтрации в наших центрах обработки данных.

В настоящее время POC проводится в Roubaix, и эта технология уже работает на 20 000 серверов. Мы также экспериментируем с методами прогнозирования определенных типов атак, чтобы инициировать защиту до того, как первые пакеты поступят в нашу сеть, что позволит полностью смягчить последствия.

Короче говоря, мы не только хотим обеспечить эффективную защиту от DDoS, мы хотим предложить наилучшую защиту. И, чтобы засвидетельствовать, мы рассматриваем возможность интеграции риска страдания DDoS в нашем SLA. Другими словами: мы гарантируем на контракте наличие ваших услуг даже в случае DDoS-атаки!

Увеличение пропускной способности межсетевого соединения: скрытая стоимость защиты от DDoS
Если стоимость системы, которая очищает атаки (смягчение), то есть перехватывает их и отфильтровывает незаконный трафик без влияния на законный трафик, поэтому является скрытой стоимостью этих защит. Это необходимость увеличить наши возможности по пэрингу с различными интернет-провайдерами по всему миру, чтобы избежать насыщения связей между источниками DDoS (которые, как следует из их названия, распределенные атаки) и наши разные VAC. И эти сверстники все больше окупаются.

OVH нуждается в сильной избыточной мощности, чтобы поглощать пики высокоинтенсивных атак, насыщать свои дороги. Поскольку недостаточно знать, как бороться с атаками, необходимо, прежде всего, иметь возможность их получать. Таким образом, из 12 Тбит / с пропускной способности сети OVH… мы фактически используем в среднем только 3,5 Тбит / с.

Как вы можете видеть, инвестиции, необходимые для борьбы с атак DDoS, частично отделяются от темпов роста OVH. Возникновение атак заставляет нас ускорить счет быстрее, чем растет запас сервера OVH.

Более чем когда-либо безопасность ИТ-инфраструктур лежит в основе деловых проблем. Кибер-угрозы от стуков до атак DDoS регулярно публикуются в последние месяцы, без сомнения, ускоряя понимание масштабов этих явлений. Хотя некоторые типы угроз трудно искоренить, именно поэтому страховщики считают, что кибератаки являются рынком с высоким потенциалом, вопрос о распределенных атаках типа «отказ в обслуживании» теперь довольно хорошо контролируется. При условии, что он полагается на провайдера облачных вычислений, который ставит эту тему в число приоритетов и дает средства. То, что OBH решило сделать, вызывая исключительный вклад своих клиентов, путем повышения цен от 1 до 10 € HT / месяц для VPS, экземпляров Public Cloud и выделенных серверов (кроме игровых серверов). Это увеличение будет эффективным в конце октября на веб-сайтах OVH для новых заказов для выделенных серверов и VPS, а в начале декабря для публичного облачного предложения. Существующие клиенты, владельцы услуг, пострадавших от увеличения, будут уведомлены лично по электронной почте для реализации новых ставок 1 декабря. Если они предпочтут обязательство на 3, 6 или 12 месяцев, увеличение вступит в силу в следующий раз, когда они возобновят свои услуги.